Massive Collection1泄露在线暴露773m独特记录

包含多达8亿个唯一电子邮件地址和超过2100万个唯一密码的近27亿条记录已被泄露并在线发布。安全研究员特洛伊·亨特(Troy Hunt)在一篇博客文章中宣布了他的调查结果后，被称为Collection#1的大规模数据泄漏由来自“数以千计的不同来源”的个人漏洞组成。在黑客论坛上共享的数据包括总共26.9亿行数据的电子邮件地址和密码，总共有11.6亿个电子邮件地址和密码的独特组合。

此集合的大小超过87GB，包含12,000个单独的文件。它代表了历史上个人数据暴露的最大(如果不是最大)风险之一。根据Hunt的说法，这个11.6亿的数字是通过将密码过滤为区分大小写，电子邮件地址不区分大小写来确定的，他说泄露的数据可用于“凭据填充”攻击。

总而言之，Hunt确定数据包含7.73亿个唯一的电子邮件地址和2100万个唯一密码。

“人们拿这些包含我们的电子邮件地址和密码的列表，然后他们试图看到他们在哪里工作，”亨特说。“这种方法的成功取决于人们在多种服务上重复使用相同的凭证。

“也许你的个人数据就在这个名单上，因为你很久以前就注册了一个论坛，你很久以前就已经忘记了，但是因为它后来被破坏而且你一直在使用相同的密码，你已经遇到了严重的问题。“

在收到#1集合的提醒后，Hunt被指向了一个流行的黑客论坛的方向，成员正在讨论数据库。他将此违规行为分配为“Collection#1”，因为它是在这些论坛上传播的图像中根文件夹的名称。

该研究人员在黑客论坛上出现了共计2,890个文件名之后，还复制了此数据泄露中包含的网站列表，但警告说它不一定完整，而且他无法对其进行验证。

根据未经证实的清单，最早提到涉嫌违规的是2008年，在过去五年中发生了大量事件。

同时管理Have I Been Pwned服务的 Hunt 建议人们购买专用的数字密码管理器或使用笔记本和笔来管理他们所有的个人登录信息。他还反对密码重用，称在线用户需要“尽可能避免这种情况”。

他的观点反映在Malwarebytes的主要恶意软件情报分析师Chris Boyd的评论中，他建议关键是确保每个帐户的密码限制为一个。

“这是利用密码管理器的另一个好理由，特别是那些具有内置功能的密码管理器可以根据数据泄露列表检查当前密码，”Boyd说。

“如果你认识到你的任何密码，你应该立即停止使用它，并尽快进行一些幕后维护。”

尽管与集合#1事件的规模相差不大，Reddit上周在强行重置大量不确定数量的用户的密码后遭受了安全恐慌。

微博平台不会确认这是预防措施还是反应措施，但建议这样做是因为他们发现用户使用了简单的密码或者正在使用密码重用。

与此同时，计算机科学教授艾伦伍德沃德曾建议最好的密码是那些你不记得的密码，同时声称有证据表明使用较长的短语更容易破解。